eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plWiadomościTechnologieInternetWindows Live ID jako przynęta

Windows Live ID jako przynęta

2015-05-22 15:53

Windows Live ID jako przynęta

Cyberoszust © fot. mat. prasowe

Typowa wiadomość phishingowa zawiera treść zachęcającą do kliknięcia w znajdujący się poniżej odnośnik. Link z kolei przekierowuje do sfałszowanej strony, na której użytkownik proszony jest o podanie loginu i hasła. Tym razem jest jednak inaczej. Eksperci z Kaspersky Lab ostrzegają przed nowym oszustwem, w którym przynętą jest identyfikator Windows Live ID, a celem – pozyskanie osobistych danych.

Przeczytaj także: Ataki internetowe coraz groźniejsze

Niestandardowy phishing


Użytkownicy otrzymują wiadomości z ostrzeżeniem, że ich konta Windows Live ID są wykorzystywane do rozsyłania niechcianych e-maili i mogą zostać zablokowane. Aby tego uniknąć, należy kliknąć odnośnik i uaktualnić dane zgodnie z nowymi wymaganiami usługi. Wszystko wygląda tak samo jak w przypadku standardowej wiadomości phishingowej. Okazuje się jednak, że link kieruje do oficjalnej strony Windows Live, a do tego nie pojawiły się żadne próby wyłudzenia danych od użytkowników.

Co dzieje się, kiedy już zalogujemy się do swojego konta na oficjalnej stronie live.com? Otrzymamy powiadomienie, które informuje, że aplikacja zażądała zgody na automatyczne logowanie się do konta, przeglądanie profilu i listy kontaktów oraz na uzyskiwanie dostępu do listy osobistych adresów e-mail użytkownika. Cyberprzestępcy zdołali wykorzystać tę technikę poprzez użycie błędów w otwartym protokole uwierzytelniania – OAuth.

Użytkownicy, którzy klikną „Tak”, dają cyberprzestępcom dostęp do osobistych informacji, takich jak adresy e-mail czy prawdziwe imiona i nazwiska ich znajomych. Oszuści zyskują także wgląd w inne dane, takie jak listy spotkań i ważnych wydarzeń, w których ofiara ma zamiar uczestniczyć. Informacje pochodzą z profili użytkowników w takich usługach jak Xbox LIVE, Zune, Hotmail, Outlook, MSN, Messenger oraz OneDrive.
O lukach w bezpieczeństwie protokołu OAuth wiemy już od jakiegoś czasu – na początku 2014 r. student z Singapuru zaprezentował metodę pozwalającą ukraść dane użytkownika po tym, jak zaloguje się on do danej usługi. Jednak po raz pierwszy widzimy zastosowanie tej techniki w phishingowych e-mailach wysyłanych przez cyberprzestępców. Oszust może wykorzystać ten zabieg do stworzenia pełnych profili użytkowników, łącznie z informacjami o tym, co robią, z kim się spotykają, kto należy do grona ich przyjaciół itp. Profile takie mogą być następnie wykorzystywane do celów przestępczych – powiedział Andriej Kostin, starszy analityk treści, Kaspersky Lab.

fot. mat. prasowe

Cyberoszust

Wiadomość phishingowa wykryta przez Kaspersky Lab różni się od innych tego typu zagrożeń, wykorzystuje bowiem lukę w protokole OAuth


Zalecenia dla użytkowników i twórców aplikacji


Jak uchronić się przed atakami phishingowymi wykorzystującymi Live ID? Eksperci z Kaspersky Lab radzą:
  • nie klikaj odnośników docierających w e-mailach lub wiadomościach prywatnych na portalach społecznościowyc;
  • nie udzielaj nieznanym aplikacjom dostępu do Twoich danych osobistych;
  • upewnij się, że rozumiesz uprawnienia, których udzielasz poszczególnym aplikacjom;
  • jeżeli odkryjesz, że jakaś aplikacja rozsyła spam lub niebezpieczne odnośniki w Twoim imieniu, zgłoś sprawę do administratora portalu społecznościowego lub usługi online, której to dotyczy. Dzięki temu administrator będzie mógł szybko zablokować niebezpieczną aplikację;
  • stosuj oprogramowanie antywirusowe z wbudowaną ochroną przed phishingiem i dbaj o to, aby było zawsze aktualne.

Twórcy aplikacji online wykorzystujących protokół OAuth powinni skorzystać z następujących zaleceń:
  • unikaj korzystania z otwartych przekierowań na swoich stronach;
  • stwórz białą listę zaufanych adresów i stosuj ją do przekierowań realizowanych poprzez protokół OAuth. Oszuści mogą realizować ukryte przekierowania do szkodliwych stron, korzystając z aplikacji, które uda się zaatakować i zmienić ich parametr "redirect_uri".

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: